<!--
/**
 * @package documentation
 * @copyright Copyright 2003-2007 Zen Cart Development Team
 * @license http://www.zen-cart.com/license/2_0.txt GNU Public License V2.0
 * @version $Id: important_site_security_recommendations.html 7498 2007-11-27 06:20:49Z drbyte $
 */
//-->
<html>
	<head>
		<title>Zen Cart中文版网站安全指南</title>
		<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
		<meta name="author" content="Ian Wilson &amp; Kim Elliott" />
		<meta name="copyright" content="2004, 2007" />
	</head>

<style type="text/css">
<!--
body, table{ font-family:Verdana, Arial, Helvetica, sans-serif; font-size:14px; }
table.intro {border-color:C96E29; }
td.intro{background-color:#EEEEEE ; border-color:5778ce; font-size:13px; }
td.plainbox, div.callout {border: 1px dashed; border-color: C96E29; margin:5 40 5 40; background-color: #d7e0f2; }
.heading {background-color:5778CE; font-weight:bold; font-size:14px;	width: 100%; }

.title1 {color:C96E29; font-weight:bold; font-size:22px; }
.title2 {color:C96E29; font-weight:bold; font-size:13px; }
.small {font-size:12px ;}
.error {color:FF0000; }
.filename {font-family: mono, "Courier New", Courier ; font-size:14px; color: c96e29;}
.pseudolink {text-decoration:underline; color:5778CE;}
h1.intro { color: #ffffff; border:1px solid #aca893; background-color: #c96e29;  font-size: 22px;   padding: 4px;}
h1 { color: #ffffff;    border:1px solid #aca893;   background-color: #5778ce;   font-size: 20px;   padding: 4px;}
h2 { color: #c96e29; 	font-size: 18px;}
h3 { color: #5778ce;	font-size: 16px; margin-bottom:0px;}
h4 { color: #c96e29;	font-size: 14px;}
.style1 {font-size: 13}


-->
</style>
<body>

<table class="intro" cellspacing="4" cellpadding="6" border="3" width="748px" align="center">
<tr><td class="intro">
<center>
<h1 class="intro">Zen Cart中文版网站安全</h1>
</center>
<span class="style1">Zen Cart&trade;软件使用的是GNU通用公共许可协议，您可以免费使用、修改Zen Cart&trade;软件。
<br />
虽然该软件是免费的，但是欢迎您每次下载新版本前捐款，以帮助我们继续软件开发、升级，和维护免费论坛。
<br />
<br />
捐款网址：
<a href="http://www.zen-cart.com/modules/freecontent/index.php?id=6" target="_blank">Zen Cart&trade; 团队</a>
<br />
<br />
感谢您的支持<br />
<em>Zen Cart China</em></span><br />
<br />

<center>
<span class="small">
Zen Cart&trade; 源自: Copyright 2003 osCommerce<br />
该软件希望提供有用的功能，但[不做保证]，也不保证[适用于特定用途]<br />
该软件受限于GNU通用公共许可协议<br /><br />
</span>
</center>
</td></tr></table>

<br />
<table border="3" width="748px" align="center" cellpadding="6">
  <tr>
<td align="center"><img src="osi-certified-120x100.png" /><br />
该软件通过OSI开源软件认证。<br />
OSI Certified是开源动力的认证标志。</td></tr></table>
<br />

<table border="3" width="748px" align="center" cellpadding="6">
  <tr>
<td>
<h1 align="center">ZEN CART中文版安全建店的方法</h1>
<p>下面是强化Zen Cart网店安全的几个步骤:  </p>
<h1>1. 删除/zc_install安装目录 </h1>
<p>安装完成后，从服务器商删除<span class="filename">/zc_install</span>安装目录。<br />
不要只是改名目录，万一别人知道了目录名，就不安全。
</p>
<h1>2. 改名"/admin"目录 </h1>
<p>修改"admin"目录名，用一个很难猜测到的名字。</p>
<p><em>(在进行下面的修改前，请备份文件和数据库。)</em></p>
<p>A- 用文本编辑器，例如记事本，打开文件<span class="filename">admin/includes/configure.php</span>。<br>
将所有出现<span class="filename">/admin/</span>的地方改成自己的管理目录名。</p>
<p>需要修改的部分:</p>
<p class="filename">define('DIR_WS_ADMIN', '<span class="pseudolink">/admin/</span>');<br>
define('DIR_WS_CATALOG', '/');<br>
define('DIR_WS_HTTPS_ADMIN', '<span class="pseudolink">/admin/</span>');<br>
define('DIR_WS_HTTPS_CATALOG', '/');</p>
<p>需要修改的部分:</p>
<p><span class="filename">define('DIR_FS_ADMIN', '/home/mystore.com/www/public</span><span class="pseudolink">/admin/</span><span class="filename">');<br>
define('DIR_FS_CATALOG', '/home/mystore.com/www/public/');</span></p>
<p>B- 找到Zen Cart的<span class="filename">/admin/</span>目录，<br />
将该目录名按照<span class="filename">admin/includes/configure.php</span>中的定义作相应修改。</p>
<p>C - 使用.htaccess文件来保护Admin目录，类似下面提到的，保存在/admin/includes目录下 (Zen Cart v1.2.7以上版本中已有该文件) </p>
<h1>3. 设置configure.php文件为只读</h1>
<p>将两个configure.php文件用CHMOD(设置权限)命令改为只读很重要。<br />
通常就是设置为"644"，有时是"444"。</p>
<p>配置文件configure.php位于:<br>
/<您的商店目录>/includes/configure.php<br>
/<您的商店目录>/admin/includes/configure.php </p>
<p>有时通过FTP设置文件为只读不起作用。尽管看起来已经设置为只读了，实际上没有。通过查看商店首页的顶部是否有警告信息来确定设置是否生效。如果还是显示警告信息，请通过主机商提供的"文件管理"功能来修改。</p>
<p>如果您用的是Windows服务器，只要将文件设置为"所有人" "只读"，如果在IIS下，是<strong>IUSR_xxxxx</strong>用户，或者"System"帐号，在Apache下，是"apache user"帐号。</p>
<h1>4. 删除不用的管理员帐号</h1>
<p><span class="filename">管理页面->工具->管理设置</span><br />
在管理页面下，打开<strong>工具</strong>菜单，选择<strong>管理设置</strong><br />
- 检查所有没有使用的管理员帐号并删除。特别注意是否有"Demo"帐号。</p>
<h1>5. 强化管理员密码</h1>
<p><strong>一定要使用一定强度、不易猜测的密码。</strong><br />
<br />
<span class="error">要修改管理员密码，进入</span>管理页面->工具->管理设置，点击"<strong>重置密码</strong>"按钮，或点击那个回收箱的图标。</p>
<p>建议使用至少8位密码。<br /> 
密码最好包含字母、数字、符合、以及大小写等。</p>
<h1>6. 保护"自定义页面" "html_includes"中的内容 </h1>
<p>定义好您的<strong>自定义页面</strong>后，(管理页面->工具->页面编辑), 您要保护这些文件:</p>
<p> A. 用FTP软件下载备份，这些文件位于<span class="filename">/includes/languages/english/html_includes</span>目录。</p>
<p>B. 修改文件 CHMOD 644 或 444 (或 Windows下为&ldquo;只读&rdquo;)。见上面的CHMOD说明<br>
<span class="filename">/includes/languages/schinese/html_includes</span> &ndash; 下面的所有文件/目录</p>
<br />
<span class="error">提示: 设置为只读后，如果需要修改自定义页面，还需要重设为可读写。</span></p>
<h1>7. 使用.htaccess文件来强化安全</h1>
<p>在服务器目录里，<span class="filename">.htaccess</span>文件可用于防止用户浏览目录，还可以防止直接访问"任何".PHP脚本，因为某些目录中的所有PHP文件是通过其它PHP文件访问，而不是直接通过浏览器。这有利于安全。<br />
<p>某些目录下还有一些半-"空白"的<span class="filename">index.html</span>文件，这些文件用于保护目录，万一FTP软件不能上传.htaccess文件，或您的服务器不接受，可以防止目录浏览，但不会停止执行.PHP文件。<br />这也是"可行的"方法，尽管在所有目录下使用<span class="filename">.htaccess</span>文件更好。</p>
<p>目录中存在<span class="filename">index.html</span> 文件，<span class="error">但还没有</span><span class="filename">.htaccess</span>文件时，建议添加的<span class="filename">.htaccess</span>文件如下(取决于服务器的设置):<br />
<div class="callout"><span class="filename">#.htaccess to prevent unauthorized directory browsing or access to .php files <br />
&nbsp;&nbsp;&nbsp;IndexIgnore */*<br>
&nbsp;&nbsp;&nbsp;<Files *.php><br>
&nbsp;&nbsp;&nbsp;&nbsp;Order Deny,Allow<br>
&nbsp;&nbsp;&nbsp;&nbsp;Deny from all<br>
&nbsp;&nbsp;&nbsp;</Files></span><br>
</div>
<p>如果您的主机不允许您建立/使用自己的<span class="filename">.htaccess</span>文件，有时您可以通过管理面板来设置<span class="filename">.htaccess</span>文件。</p>
<p><span class="error">您需要选择 -- 并使用 -- 适合您的服务器的方法</span>。最好咨询您的主机提供商。</p>
<h1>关闭"允许访客推荐给朋友"功能</h1>
管理页面->电子邮件选项->允许访客推荐给朋友选项设置为'false'。防止用户利用你的服务器发送不必要的电子邮件。<br />
</td>
</tr>
</table>
<div align="center"><br />
<em>版权所有 2007 Zen Cart 中文版</em> <br />
<br />
<br />
</div>
</body>
</html>
